web常见攻击一——暴力破解（Brute Force）

 

 

转自http://www.sundabao.com/?p=127

 

 

 

 

本人也是php新手，也许写的有错，望大神指出。

所谓的暴力破解攻击就是攻击者无限次尝试用户名和密码，试图登录网站。

如果攻击者无限次的尝试，肯定会把密码尝试出来，所以我们只能把代码写好，尽可能防止这种情况的发生。另外建议朋友们把密码设的复杂一些，这样就会给攻击者增加破解难度。

1、下面是安全性最低的代码，根本没有对用户输入做任何处理，直接操作数据库。这样是非常危险的，很容易被攻击。

 

2、下面中等安全的代码，可以看到笔者用mysql_real_escape_string()函数处理用户信息，这样可以有效防止用户输入非法sql语句，可是处理不了其他的非法字符（如\）.mysql_real_escape_string()使用

 

3、下面是安全性比较高的代码，可以看到笔者先用stripslashes()函数过滤用户输入，然后再用mysql_real_escape_string()对用户输入进行sql语句过滤。stripslashes()的使用